Reguła podróży dla płatności kryptograficznych

1) Czym jest reguła podróży i dlaczego jest ona potrzebna

Zasada podróży jest wymogiem regulacyjnym dla dostawców wirtualnych aktywów (VASP) do wymiany tożsamości nadawcy i odbiorcy przy przekazywaniu aktywów kryptograficznych. Cel: ograniczenie ryzyka związanego z AML/CTF, uproszczenie dochodzeń i zwiększenie przejrzystości transferów w ramach VASP, przy jednoczesnym zachowaniu operacyjności infrastruktury internetowej.

• Dane „podróżuje” z tłumaczeniem (off-chain kanał komunikacyjny VASP i VASP).
• Wymagania i progi różnią się w zależności od jurysdykcji; często próg jest bliski ~ 1000 (odpowiednik), ale w wielu trybach ma zastosowanie do mniejszych kwot - ustalić lokalną normę w swojej polityce.
• Wymagania rozróżniają portfele hosted (custodial) i unhosted (independent).

2) Przedmioty i obszary zastosowania

VASP → VASP (hosted i hosted): pełna wymiana danych zgodnie ze standardem (najlepiej przed transmisją online).
VASP → Unhosted: gromadzenie/weryfikacja informacji o adresacie i pochodzeniu funduszy w ramach lokalnej polityki RBA; nie ma wymiany z „kontrahentem - VASP”.
Transgraniczne: Użyj Discovery/Directory i umów zaufania, aby znaleźć kontrahenta i bezpieczny kanał.

3) Jakie dane są przekazywane (minimalny skład)

• Imię i nazwisko (lub nazwa. firma), niepowtarzalny identyfikator klienta (z systemu),
• adres/kraj lub data urodzenia (państwo właściwe),
• numer konta/portfela (wewnętrzny identyfikator/adres),
• Kontakty (w razie potrzeby), identyfikator VASP (LEI/BIC/Reg. numer - w stosownych przypadkach).

• nazwa (jeżeli odbiorca znajduje się w innym VASP i jest zweryfikowany),
• ID rachunku/portfela w beneficjencie-VASP,
• Gdy nie jest obsługiwany - informacje zebrane od klienta zgodnie z zasadami RBA.

• Aktywa/sieć (BTC, ETH/łańcuch), kwota, znacznik czasowy,
• Identyfikator płatności/transferu, odniesienie do kontroli TAC/sankcji,
• Identyfikator sesji/komunikatu dotyczącego reguł podróży.

4) Normy i protokoły wymiany

IVMS101 - model danych (co i jak nazwać).
TRISA/TRP/OpenVASP - protokoły sieciowe i „sieci zaufania” (PKI, mTLS, katalogi VASP, routing, potwierdzenie dostawy).
Komercyjne centra/agregatory mogą wdrożyć interoperacyjność (podejście Gateway) i Discovery.

Zalecenie: abstrakcyjny transport (warstwa adaptera) i przechowywać IVMS101 jako „model kanoniczny” w celu swobodnej zmiany dostawcy/protokołu bez łamania API.

5) Architektura wdrażania (odniesienie)

1. Travel Rule Gateway (microservice): odbieranie/wysyłanie wiadomości IVMS101, podpisywanie/szyfrowanie, przekaźniki, kwoty.

2. Katalog/Odkrycie: wyszukiwanie counter-VASP (rejestr, PKI, polityka zaufania).

3. KYT/Sankcje Engine: address/exchange/cluster screening, pre-shipment risk assessment.

4. Silnik zgodności (RBA): zezwolić/wstrzymać/odrzucić/żądać dodatkowych danych.

5. Zarządzanie sprawami: sprawy, załączniki, SLA, eskalacje (L1/L2/L3).

6. PII Vault: bezpieczne przechowywanie danych osobowych (szyfrowanie, tokenizacja, RBAC, audyt).

1. Klient tworzy transfer → 2) TAC/pre-check sankcje → 3) Kontrahent discovery → 4) Wymiana IVMS101 (przed onchen) → 5) Decyzja (allow/hold) → 6) Onchein-broadcast → 7) Post-factum reporting/logging.

6) Portfele niezagospodarowane: polityka i kontrole

Zbieranie informacji o kontrahencie od klienta (nazwa/kraj/relacja), potwierdzenie posiadania adresu (podpis z wiadomością, mały „przelew dowodowy”, weryfikacja na giełdzie).
Zasady ryzyka: zakaz/ograniczenia adresów o wysokim ryzyku KYT (miksery, „ciemne” rynki, klastry sankcji), zakaz stosowania witryn P2P bez KYC zgodnie z Twoją polityką.
Książka adresowa/whitelisting z TTL i recenzja.

7) Integracja z TAC/sankcjami i AML

KYT (Know Your Transaction): ocena ryzyka adresów/wymian, połączenia z N-hopami z „złymi” klastrami, anomalie wolumenu/trasy.
Sankcje: kontrola klienta/kontrahenta (KYC/KYB) oraz infrastruktura (wymiana, powiernicy).
Pozytywne ryzyko → wstrzymać, wniosek o dokument (SoF/SoW) i/lub odrzucić, jeśli to konieczne - SAR/STR.

8) Dane i prywatność (RODO/bezpieczeństwo)

Minimalizacja: zachować tylko wymagane pola reguły podróży; Oddziel PII od PANS/kluczy płatności.
Szyfrowanie: w stanie spoczynku (KMS/HSM) i w tranzycie (mTLS), obrót klucza.
Dostęp: ścisły RBAC, dziennik akcji, zasada „need-to-know”.
Zatrzymanie: zgodnie z prawem jurysdykcji (często 5 + lat); automatyczne raporty o wygaśnięciu i usunięciu.
DSR: procedury dostępu/rekultywacji/usuwania, w stosownych przypadkach.

9) SLA, Przekłady i degradacja

• Kontrola wstępna (KUT/sankcje): ≤ 5-15 c p95.
• Odkrycie + wymiana (VASP i VASP): ≤ 60-120 c p95 (w tym przekładki).
• Rozwiązanie (zezwolić/przytrzymać/odrzucić): ≤ 2-5 min p95 dla przypadków samochodowych; ręczna kontrola Wysokie ryzyko - ≤ 4 godziny.

• Wykładniczy backoff + jitter; alternatywne punkty końcowe.
• Problem wschód słońca (kontrahent nie obsługuje reguły podróży): wyjątki/limity RBA, ręczna wymiana przez zaszyfrowany kanał (jeśli zezwala na to polityka/prawo) lub odmowa.

10) Wzory UX (nie łamanie konwersji)

Prepopulacja danych odbiorcy w przypadku częstych transferów (księga adresowa).
Wyczyść wiadomości: „Potwierdzenie adresu wymagane „/” Dane odbiorcy potrzebne do przestrzegania reguły ”.
Kontrole kontekstowe (podpis adresu, mikro-tłumaczenie) z instrukcjami krok po kroku.
Statusy i zegary przytrzymujące/kontrolne, przezroczyste oczekiwania.
Alternatywy: „Dostać się na giełdę z KYC”, jeśli niezagospodarowany zawiedzie.

11) Mierniki i kontrola jakości

• Pokrycie reguły podróży% (udział transferów VASP i VASP z udaną giełdą IVMS101).
• Udział niezagospodarowanych z potwierdzoną weryfikacją adresu i SoF (według progu).
• kurs trafienia SLA według kursu/rozwiązań; udział przypadków ręcznych.

• Wskaźnik wysokiego ryzyka KYT, odmowa sankcji, konwersja SAR.
• Powtarzające się wpisy według adresów/klastrów, udostępnianie „fałszywie pozytywnych” przez KYT.

• Czas na przeniesienie p50/p95, odmowa z powodu reguły podróży (wpływ), konwersja powtórnych transferów (książka adresowa).

12) Macierz decyzji (szkic)

13) Anty-wzory

Wysyłanie online przed końcem wymiany danych VASP i VASP (w trybach, w których jest to wymagane przed tłumaczeniem).
„głuchy” blokowanie wszystkich niezagospodarowanych bez wyjątków RBA i weryfikacji adresowej.
Brak Discovery/Directory → niestabilna dostawa i częste fałszywe przytrzymywanie.
Przechowywanie zbędnego PII bez celu/retencji; niepodzielone kłody i PII.
Sztywny krawat dla jednego dostawcy protokołu bez abstrakcji (blokada dostawcy).

14) Lista kontrolna wdrażania

• Zasady dotyczące podróży: jurysdykcje, progi, hosted/unhosted, wyjątki RBA.
• Kanoniczny model IVMS101 i warstwa adaptera w ramach TRISA/TRP/OpenVASP.
• Directory/Discovery а PKI/mTLS; zaufane zarządzanie VASP.
• Włączenie TAC/sankcji do kontroli wstępnej; Trzymaj/odrzucaj zasady.
• PII Vault: szyfrowanie, RBAC, audyt, retencja/DSR.
• SLA/przekładki/wpisy, deski rozdzielcze mierników; playbooks degradacji.
• Procesy dla niezagospodarowanych: weryfikacja adresu, żądania SoF, whitelisting.
• Szablony zarządzania sprawami i komunikacji; Procedury SAR/STR.
• Stanowiska testowe: emulacja kontrahenta VASP, skrypty awaryjne, test obciążenia.
• Płatności/Ryzyko/Zgodność/Wsparcie szkolenia i regularne ćwiczenia.

15) Podsumowanie

Zasada podróży nie jest „o krypcie”, ale o operacyjnej bezpiecznej wymianie danych między VASP. Zbudować bramę z IVMS101 jako model kanoniczny, podłączyć Discovery/Directory, zintegrować TAC/sankcje i rozwiązania RBA, chronić PII i określić zrozumiałe SLA. Następnie transfery VASP i praca z niehostowanymi adresami będą szybkie, zgodne i nie zniszczą konwersji.